Alert GCSA-25112 - Vulnerabilita' critiche in apparati Cisco ASA e FTD
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25112
data: 26 settembre 2025
titolo: Vulnerabilita' critiche in apparati Cisco ASA e FTD
******************************************************************
:: Descrizione del problema
Cisco ha rilasciato delle patch di emergenza per due vulnerabilita' critiche in corso di sfruttamento.
Tracciati come CVE-2025-20333 (punteggio CVSS 9.9) e CVE-2025-20362 (punteggio CVSS 6.5), i bug riguardano
il server web VPN dei software Cisco Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD).
L'input fornito dall'utente nelle richieste HTTP(S) non viene convalidato correttamente, consentendo ad un aggressore remoto
di inviare richieste contraffatte ed eseguire codice arbitrario con privilegi di root, o di accedere a un URL con restrizioni
senza autenticazione.
L'aggressore necessita di credenziali utente VPN valide per sfruttare il difetto di gravita' critica,
ma puo' sfruttare quello di gravita' media senza autenticazione.
Cisco ha rilasciato una patch anche per la CVE-2025-20363 (punteggio CVSS 9.0), anche questo bug
e' dovuto ad una convalida non corretta dell'input fornito dall'utente nelle richieste HTTP,
e puo' essere sfruttato senza autenticazione su dispositivi che eseguono software ASA e FTD.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Apparati interessati
Cisco ASA:
versione 9.12.x precedente alla 9.12.4.72
versione 9.14.x precedente alla 9.14.4.28
versione 9.16.x precedente alla 9.16.4.85
versione 9.17.x e 9.18.x precedente alla 9.18.4.67
versione 9.19.x e 9.20.x precedente alla 9.20.4.10
versione 9.22.x precedente alla 9.22.2.14
versione 9.23.x precedente alla 9.23.1.19
Cisco FTD:
versione 7.0.x precedente alla 7.0.8.1
versione 7.1.x e 7.2.x precedente alla 7.2.10.2
versione 7.3.x e 7.4.x precedente alla 7.4.2.4
versione 7.6.x precedente alla 7.6.2.1
versione 7.7.x precedente alla 7.7.10.1
Anche il software IOS e IOS XE sono vulnerabili alla CVE-2025-20363 se hanno la funzionalita' VPN SSL di accesso remoto abilitata.
Anche le versioni 6.8 e 6.9 del software IOS XR (32 bit), su piattaforma ASR 9001 e architettura a 32 bit, sono vulnerabili alla
CVE-2025-20363 se eseguite su router Cisco ASR 9001 con server HTTP abilitato.
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Bypass delle funzionalita' di sicurezza (SFB)
Acquisizione di privilegi piu' elevati (EoP)
:: Soluzioni
Si consiglia di eseguire una valutazione della compromissione sui dispositivi vulnerabili,
e di aggiornare il prima possibile.
Utilizzare Cisco Software Checker (https://sec.cloudapps.cisco.com/security/center/softwarechecker.x)
per determinare la versione appropriata.
:: Riferimenti
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
Detection Guide for Continued Attacks against Cisco Firewalls by the Threat Actor behind ArcaneDoor
https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
Greynoise
https://www.greynoise.io/blog/scanning-surge-cisco-asa-devices
SecurityWeek
https://www.securityweek.com/cisco-firewall-zero-days-exploited-in-china-linked-arcanedoor-attacks/
NCSC
https://www.ncsc.gov.uk/news/persistent-malicious-targeting-cisco-devices
Bleeping Computer
https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-cisco-flaws-exploited-in-zero-day-attacks/
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2025-20333
https://www.cve.org/CVERecord?id=CVE-2025-20362
https://www.cve.org/CVERecord?id=CVE-2025-20363
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaNaQmw0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCDQEAnRq6qkRCOR6ywP20yPde/Hp/JgMfAJ9/tVYPd1lP
3D0iHW/rX8M7HRQZkQ==
=LXdQ
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25112
data: 26 settembre 2025
titolo: Vulnerabilita' critiche in apparati Cisco ASA e FTD
******************************************************************
:: Descrizione del problema
Cisco ha rilasciato delle patch di emergenza per due vulnerabilita' critiche in corso di sfruttamento.
Tracciati come CVE-2025-20333 (punteggio CVSS 9.9) e CVE-2025-20362 (punteggio CVSS 6.5), i bug riguardano
il server web VPN dei software Cisco Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD).
L'input fornito dall'utente nelle richieste HTTP(S) non viene convalidato correttamente, consentendo ad un aggressore remoto
di inviare richieste contraffatte ed eseguire codice arbitrario con privilegi di root, o di accedere a un URL con restrizioni
senza autenticazione.
L'aggressore necessita di credenziali utente VPN valide per sfruttare il difetto di gravita' critica,
ma puo' sfruttare quello di gravita' media senza autenticazione.
Cisco ha rilasciato una patch anche per la CVE-2025-20363 (punteggio CVSS 9.0), anche questo bug
e' dovuto ad una convalida non corretta dell'input fornito dall'utente nelle richieste HTTP,
e puo' essere sfruttato senza autenticazione su dispositivi che eseguono software ASA e FTD.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Apparati interessati
Cisco ASA:
versione 9.12.x precedente alla 9.12.4.72
versione 9.14.x precedente alla 9.14.4.28
versione 9.16.x precedente alla 9.16.4.85
versione 9.17.x e 9.18.x precedente alla 9.18.4.67
versione 9.19.x e 9.20.x precedente alla 9.20.4.10
versione 9.22.x precedente alla 9.22.2.14
versione 9.23.x precedente alla 9.23.1.19
Cisco FTD:
versione 7.0.x precedente alla 7.0.8.1
versione 7.1.x e 7.2.x precedente alla 7.2.10.2
versione 7.3.x e 7.4.x precedente alla 7.4.2.4
versione 7.6.x precedente alla 7.6.2.1
versione 7.7.x precedente alla 7.7.10.1
Anche il software IOS e IOS XE sono vulnerabili alla CVE-2025-20363 se hanno la funzionalita' VPN SSL di accesso remoto abilitata.
Anche le versioni 6.8 e 6.9 del software IOS XR (32 bit), su piattaforma ASR 9001 e architettura a 32 bit, sono vulnerabili alla
CVE-2025-20363 se eseguite su router Cisco ASR 9001 con server HTTP abilitato.
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Bypass delle funzionalita' di sicurezza (SFB)
Acquisizione di privilegi piu' elevati (EoP)
:: Soluzioni
Si consiglia di eseguire una valutazione della compromissione sui dispositivi vulnerabili,
e di aggiornare il prima possibile.
Utilizzare Cisco Software Checker (https://sec.cloudapps.cisco.com/security/center/softwarechecker.x)
per determinare la versione appropriata.
:: Riferimenti
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
Cisco Event Response: Continued Attacks Against Cisco Firewalls
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
Detection Guide for Continued Attacks against Cisco Firewalls by the Threat Actor behind ArcaneDoor
https://sec.cloudapps.cisco.com/security/center/resources/detection_guide_for_continued_attacks
Greynoise
https://www.greynoise.io/blog/scanning-surge-cisco-asa-devices
SecurityWeek
https://www.securityweek.com/cisco-firewall-zero-days-exploited-in-china-linked-arcanedoor-attacks/
NCSC
https://www.ncsc.gov.uk/news/persistent-malicious-targeting-cisco-devices
Bleeping Computer
https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-cisco-flaws-exploited-in-zero-day-attacks/
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2025-20333
https://www.cve.org/CVERecord?id=CVE-2025-20362
https://www.cve.org/CVERecord?id=CVE-2025-20363
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaNaQmw0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCDQEAnRq6qkRCOR6ywP20yPde/Hp/JgMfAJ9/tVYPd1lP
3D0iHW/rX8M7HRQZkQ==
=LXdQ
-----END PGP SIGNATURE-----